Googlen Threat Analysis Group on ilmoittanut löytäneensä hyväksikäyttökehyksen, joka käytti nyt korjattuja haavoittuvuuksia vakoiluohjelmien levittämiseen. Espanjalainen IT-yritys Variston on yhdistetty hyväksikäyttöön.
Espanjalainen IT-yritys on saattanut hyödyntää Windowsin haavoittuvuutta
Googlen uhkaanalyysiryhmä (TAG) ilmoitti 30. marraskuuta 2022 Googlen blogikirjoitus että "Heliconia"-niminen hyödyntämiskehys saattaa olla yhteydessä espanjalaiseen IT-yritykseen Varistoniin. Kehys käytti hyväksi nyt korjattuja Chromen, Firefoxin ja Microsoft Defenderin haavoittuvuuksia ottaakseen käyttöön vaarallisia vakoiluohjelmia.
Variston, väitetty tietoturvaratkaisujen tarjoaja, sijaitsee Barcelonassa ja on saattanut hyödyntää n-päivän haavoittuvuuksia vakoiluohjelmien levittämiseen. N-päivän haavoittuvuudet viittaavat käytettyihin tietoturvapuutteisiin, jotka on korjattu. Googlen TAG-tutkijat uskovat kuitenkin, että näitä haavoittuvuuksia käytettiin
nollapäivän hyökkäyksiä luonnossa ennen laastareita.Heliconia Framework voi ottaa käyttöön kaupallisia vakoiluohjelmia
Google Threat Analysis Group sai alun perin tietoiseksi Heliconia-kehyksestä anonyymin käyttäjän tekemällä virheraportointipalvelustaan. Käyttäjä, joka ilmoitti kolmesta bugista, loi nimen "Heliconia". Kolmen raportin nimi oli "Heliconia Noise", "Heliconia Soft" ja "Files".
Heliconia Noise on kehys, joka ottaa käyttöön Windows-hyödyntämisen Chromen renderöintivirhettä varten, jota seuraa sitten Chromen hiekkalaatikon poisto ja agentin asennus. Chromen versiot 90.0.4430.72–91.0.4472.106 (vaihtelut huhtikuusta kesäkuuhun 2021) olivat alttiina tälle hyväksikäytölle elokuuhun 2021 asti.
Heliconia Soft -kehys ottaa käyttöön PDF-tiedoston, joka sisältää Windows Defender -hyödyntämisen. Tiedostot koostuvat erilaisista hyväksikäytöistä sekä Linux- että Windows-järjestelmille.
Heliconia käsittelee kaupallisten vakoiluohjelmien leviämistä kohdistetuille laitteille. Kuten Googlen asiaa koskevassa TAG-viestissä todetaan, tällainen haittaohjelma tuo "kehittyneitä valvontaominaisuuksia hallitusten käsissä, jotka käyttävät niitä vakoilemaan toimittajia, ihmisoikeusaktivisteja, poliittista oppositiota ja toisinajattelijat."
Googlen TAG on sitoutunut torjumaan kaupallisia vakoiluohjelmia
Googlen TAG päätti Heliconia-kehystä koskevan blogikirjoituksensa, että "vakoiluohjelmateollisuuden kasvu asettaa käyttäjät vaaraan ja tekee Internetistä vähemmän turvallista". Kaupallisia vakoiluohjelmia voidaan käyttää väärin, vaikka "valvontatekniikka olisi laillista kansallisten tai kansainvälisten lakien mukaan".
Tämän vaaran vuoksi Google ja TAG ovat ilmoittaneet, että ne "jatkavat toimia kaupallista vakoiluohjelmateollisuutta vastaan ja julkaisevat sitä koskevia tutkimuksia".
Vakoiluohjelmat aiheuttavat riskin miljoonille Internetin käyttäjille
Vakoiluohjelmia voidaan hyödyntää valvomaan ihmisten digitaalista toimintaa ilman heidän lupaansa tai tietämättään. Yksityiset tiedot ovat alttiina vakoiluohjelmien varkauksille, joita voidaan käyttää sekä hyökkääjän hyödyksi että kohteen hyväksikäyttöön. Vaikka kaupalliset vakoiluohjelmat voivat olla laillisia tietyissä maissa, niitä voidaan silti käyttää epäeettisesti ja saattaa kansalaiset vaaraan. Tästä syystä Googlen TAG: n kaltaiset tiimit pyrkivät tunnistamaan, valvomaan ja käsittelemään tällaisia ohjelmia jatkuvasti.
